AWS Security

Audit-ready AWS in 30 Tagen.

Ein 98-Punkte-Security-Assessment, gemappt auf ISO 27001, SOC 2, NIS2 und DORA — priorisiert danach, was ein Angreifer tatsächlich ausnutzen würde, nicht nach Scanner-Rauschen. Von Engineers, die echte AWS-Kompromittierungen, Kryptomining-Flotten und Credential-Diebstahl selbst eingedämmt haben.

Security Assessment buchen — €8.000 Festpreis

Die Auslöser, die Unternehmen zu uns bringen

  • Ein Enterprise-Deal hängt an einem Security-Fragebogen oder SOC 2-/ISO 27001-Nachweisen, die Sie noch nicht haben.
  • Regulator oder Auditor hat ein Datum gesetzt. NIS2 und DORA haben aus „wir sollten Security verbessern" eine Deadline mit Bußgeldern gemacht.
  • Es ist bereits etwas passiert — ein exponierter Key, ein seltsamer Rechnungssprung, ein GuardDuty-Finding, das niemand triagiert hat. (Wie so etwas abläuft, lesen Sie in unseren Incident-Berichten und unserem Incident-Response-Playbook.)

Was Sie bekommen

98-Punkte-Assessment

IAM, Netzwerk, Daten, Logging, Detection und Resilienz — die vollständige Checkliste, die wir offen publizieren, ausgeführt gegen Ihre Accounts mit Evidenz pro Punkt.

Priorisierung nach Ausnutzbarkeit

Befunde geordnet nach realen Angriffspfaden — ein öffentliches S3-Bucket mit Credentials schlägt eine fehlende Tag-Policy. Sie beheben zuerst, was zählt, mit Aufwandsschätzung pro Fix.

Compliance-Mapping

Jeder Befund gemappt auf ISO 27001-, SOC 2-, NIS2- und DORA-Kontrollen — die Remediation-Roadmap ist zugleich Ihr Audit-Evidenzplan.

Detection-Baseline

CloudTrail, GuardDuty, Budget-/Anomalie-Alerts und Root-Account-Härtung eingerichtet oder verifiziert — die Kontrollen, die aus einem Breach statt eines quartalslangen Forensik-Projekts eine 2-Stunden-Eindämmung machen.

Preise

Häufige Fragen

Ist das ein Penetrationstest?

Nein — es ist ein Konfigurations- und Architektur-Assessment, das bei AWS-Umgebungen mehr reales Risiko pro Euro findet als ein Pentest. Brauchen Sie für Compliance einen Pentest, scopen und koordinieren wir ihn mit einem spezialisierten Partner und führen die Ergebnisse in dieselbe Roadmap.

Welchen Zugriff benötigen Sie?

Read-only-Security-Audit-IAM-Rollen (AWS' SecurityAudit Managed Policy plus begrenzte Ergänzungen), ausgerollt über ein CloudFormation-/Terraform-Template, das Sie prüfen. Kein Schreibzugriff; alles protokolliert.

Bringen Sie uns wirklich durch ISO 27001 oder SOC 2?

Wir liefern die technischen AWS-Kontrollen und das Evidenzpaket — Konfigurationsexporte, Policies, Monitoring-Nachweise —, das Auditoren tatsächlich anfragen. Für die organisatorische Seite (Policies, HR-Prozesse) arbeiten wir mit Ihrem Compliance-Lead oder Auditor zusammen.

Was, wenn Sie etwas akut Schlimmes finden?

Wir sagen es Ihnen am selben Tag, mit einem Eindämmungsplan. Wir haben live Kompromittierungen eingedämmt — gestohlene Credentials, Kryptomining-Autoscaling-Flotten — und der Unterschied zwischen einem schlechten Tag und einer Katastrophe sind die ersten zwei Stunden. Aktive Ausnutzung pausiert das Assessment und schaltet uns in den Incident-Modus.

NIS2 / DORA — betrifft uns das überhaupt?

Im Finanzsektor (DORA) oder als wesentliche/wichtige Einrichtung unter NIS2 (Energie, Transport, Gesundheit, digitale Infrastruktur und deren Zulieferer) gilt einiges oder alles — oft über die Lieferketten-Anforderungen Ihrer Enterprise-Kunden, selbst wenn Sie nicht direkt im Scope sind. Das Assessment enthält ein Scoping-Memo für Ihre Situation.

Security Assessment buchen